超级会员免费看
ShellBags是Windows系统中记录文件夹信息的注册表项,包含时间戳,用于改善用户体验。它们在删除文件夹后仍保留,可用于取证,揭示用户活动。ShellBags自Windows 7起广泛使用,存储在NTUSER.dat和USRCLASS.dat中,通过Volatility等工具可解析获取用户活动线索。
目录
一、概念
ShellBags是一组用来记录文件夹(包括挂载网络驱动器文件夹和挂载设备的文件夹)的名称、大小、图标、视图、位置的注册表项,或称为BagMRU。每次对文件夹的操作,ShellBags的信息都会更新,而且包含时间戳信息。是Windows系统改善用户体验的功能之一。即使删除文件夹后,ShellBags仍然会保留文件夹的信息。因此可以用来揭示用户的活动。
volatility下解析并打印从注册表中获取的Shellbag信息。其中shellbag是一组注册表项,被windows用来维护使用资源管理器时文件夹的大小、视图、图表和位置;即使在删除目录以后,Shellbags仍会保留目录的信息,可以用来枚举过去装入的卷,删除的文件和用户操作,重建用户活动。
二、用途和取证中的价值
微软从Windows 7开始引入ShellBags,虽然在Windows xp中也存在,但是其文件格式发生了很大的改变。并在后续的系统上一直使用。ShellBags用来保存用户浏览文件夹时的偏好信息,比如文件夹的排列方式,文件夹显示图标的大小等,比如将文件夹
订阅专栏 解锁全文
扫一扫
1545
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
